O pagamento por cartão de crédito é cada vez mais popular. No entanto, também requer medidas de segurança rigorosas no que respeita aos dados de cartões de crédito e de transacções, de modo a consolidar a confiança dos clientes neste método de pagamento. Por este motivo, os especialistas em segurança das empresas de cartões de crédito reuniram-se e desenvolveram uma solução comum. Qualquer empresa que processe, transmita ou armazene dados de cartões de crédito tem de cumprir um conjunto de directrizes para garantir a segurança dos dados. O objectivo é que todos os comerciantes que aceitam cartões de crédito cumpram rigorosamente a PCI-DSS (Padrão de Segurança de Informação da Indústria de Cartões de Pagamento), anteriormente designada por CISP (Cardholder Information Security Program).

A versão actual da norma foi desenvolvida durante um período de apenas alguns anos. A VISA lançou o CISP (Cardholder Information Security Program) em 2001. Este foi o primeiro programa deste tipo e exigia que os comerciantes e fornecedores de serviços cumprissem um conjunto de normas específicas para garantir a segurança dos dados. Alguns anos mais tarde, a VISA, a MasterCard, a American Express, a Discover, a Diners Club e a JCB conjugaram as respectivas políticas individuais e apresentaram a PCI-DSS (Payment Card Industry Data Security Standard), uma versão actualizada e mais abrangente da norma, que se tornou obrigatória para todos os comerciantes e fornecedores de serviços em Junho de 2005. Novamente actualizada em Setembro de 2006, a norma inclui agora cerca de 160 requisitos, que se tornaram obrigatórios em Junho de 2007. O acordo não é um mero "tigre de papel": Só em 2006, a VISA apresentou reclamações num valor total de 4,6 milhões de dólares contra comerciantes que não cumpriram as normas. Este número corresponde a um aumento de 35% em comparação com o ano anterior.

A norma PCI actual inclui requisitos rígidos no que respeita ao processamento e armazenamento de dados de cartões de crédito. Os comerciantes estão obrigados a cumprir estas normas para manter o estatuto de parceiros da empresa de cartões de crédito e evitar multas pesadas. É possível que o seu banco o tenha contactado nos últimos meses com informações relativas à PCI e respectiva importância na prevenção de fraudes com cartões de crédito.

No início deste ano, as empresas de cartões de crédito VISA e MasterCard acordaram normas comuns com o objectivo de alcançar um curso de acção coerente para a aplicação dos requisitos de segurança.   O Padrão de Segurança de Informação da Indústria de Cartões de Pagamento ou "PCI" é válido para toda a indústria de pagamento com cartões de crédito.

As regulamentações PCI especificam 12 requisitos de conformidade que têm de ser cumpridos por todos os comerciantes que aceitem cartões VISA e por fornecedores de serviços:

Criar e manter uma rede segura
1. Instalar e manter uma configuração de firewall para proteger os dados do utilizador do cartão
2. Não utilizar predefinições do fornecedor para palavras-passe de sistemas e outros parâmetros de segurança

Proteger os dados do utilizador do cartão
3. Proteger os dados armazenados do utilizador do cartão. Não armazenar dados de cartões ou de transacções desnecessários, tais como a totalidade do número do cartão, dados da banda magnética, o código de verificação do cartão (CVV2) ou o PIN.
4. Encriptar a transmissão de dados do utilizador do cartão e informações sensíveis em redes abertas e públicas.

Manter um programa de gestão de vulnerabilidades
5. Utilizar e actualizar regularmente software anti-vírus
6. Desenvolver e manter sistemas e aplicações seguros

Implementar medidas de controlo de acesso rígidas
7. Restringir o acesso a dados de utilizadores de cartões a funcionários que tenham necessidade profissional de os conhecer
8. Atribuir um ID exclusivo a cada pessoa com acesso informático
9. Restringir o acesso físico aos dados de utilizadores de cartões

Monitorizar e testar regularmente as redes
10. Acompanhar e monitorizar todo o acesso a recursos de rede e a dados de utilizadores de cartões
11. Testar regularmente sistemas e processos de segurança

Manter uma política de segurança de informações
12. Manter uma política dedicada à segurança das informações

Poderá encontrar aqui explicações detalhadas para os 12 requisitos.

Um dos aspectos mais importantes dos 12 pontos do programa de segurança de dados PCI corresponde à proibição de armazenamento da totalidade dos dados de cartões de crédito e CVV, em qualquer formato, após a autorização da transacção. Esta medida é fundamental, uma vez que o acesso a estes dados altamente sensíveis facilita a falsificação de cartões de crédito.

Caso seja revelado numa auditoria que um comerciante está a armazenar dados de cartões de crédito no POS (caixa registadora), no PMS (Sistema de Front Office) ou na sede da empresa, existe uma forte probabilidade de a VISA multar o banco do comerciante, que transferirá a multa para o comerciante, por não cumprimento das normas. A VISA está ciente de que alguns produtos POS e PMS armazenam dados de cartões de crédito.

Como é normal, todos os fornecedores de IT em toda a indústria, bem como o seu fornecedor de serviços de transacção, são afectados. Solicite ao seu fornecedor de serviços de transacção que confirme a respectiva conformidade com a PCI.

Os comerciantes e fornecedores de serviços estão obrigados a cumprir o 'Padrão de Segurança do PCI’ ao processar dados de cartões de crédito e de transacções. Isto significa a sujeição a um processo de certificação conduzido por um agente autorizado pela VISA e pela MasterCard.

Na MICROS-Fidelio, levamos esta iniciativa muito a sério. Quando as novas directrizes da Associação, que proibiam a prática comum de armazenamento de dados de cartões de crédito, foram anunciadas, implementámos alterações em todas as nossas aplicações de software de modo a cumprir as novas regulamentações.

Desde essa altura, temos vindo a acrescentar outras alterações para que os nossos produtos sejam tão compatíveis com a norma PCI quanto possível. Disponibilizámos as versões compatíveis com o PCI dos nossos produtos MICROS-Fidelio no formato de actualizações aos nossos clientes. As actualizações ou correcções de menores dimensões podem ser realizadas pelo Suporte da MICROS-Fidelio. Consulte o Suporte para saber se é possível aplicar uma correcção ao seu produto.

Desde 2006, a MICROS-Fidelio é um fabricante de software de aplicações de pagamento certificado compatível com as normas de segurança. Poderá encontrar uma lista de todos os fornecedores de software certificados e respectivas aplicações no website oficial americano da VISA ou clicando aqui.

Recomendamos que não verifique apenas a compatibilidade da sua versão do produto com a norma PCI, mas também a correcta configuração de todas as opções necessárias para a conformidade. Pode encontrar aqui uma lista de todos os sistemas com certificação PCI.

Os nossos departamentos de Suporte estarão inteiramente ao seu dispor para o ajudar com as opções de configuração. Poderá contactar-nos durante o horário de funcionamento normal do suporte, através das opções de contacto habituais. Caso necessite de uma actualização de software, ajudá-lo-emos no planeamento e agendamento.

Para contactar o nosso Centro de Suporte MICROS-Fidelio para a região EAME, faça clique aqui para obter os detalhes locais.

A MICROS-Fidelio, bem como o seu fornecedor de serviços, declina qualquer responsabilidade por danos incorridos pelo cliente na sequência da utilização de produtos não compatíveis.

Lamentamos o facto de o mercado estar a exercer um pressão tão elevada sobre os bancos e os comerciantes que aceitam cartões de crédito. No entanto, sentimo-nos no dever de o informar relativamente a esta questão.

Estaremos inteiramente ao seu dispor para prestar toda a assistência de que necessite.

O PCI DSS (Padrão de Segurança de Informação da Indústria de Cartões de Pagamento) afecta todos os comerciantes/empresas que aceitem pagamentos por cartão de crédito e armazenem dados de cartões de crédito.

Para cumprir a norma PCI, é necessária uma versão compatível de software. Consulte a nossa Lista de Compatibilidade para obter a lista actual de versões compatíveis.

Se processar e armazenar dados de cartões de crédito, poderá actualizar versões anteriores de software de modo a cumprir a norma.

O âmbito da actualização depende da versão do software de que dispõe actualmente. Os nossos departamento de Suporte e Vendas estarão disponíveis para o ajudar.

Deverá ter igualmente em atenção a segurança da rede e certificar-se de que não existem cópias de segurança ou sistemas de formação desprotegidos/não encriptados na sua rede.

Solicitamos que realize estas alterações apenas mediante instruções do Suporte. Ajudá-lo-emos a verificar se são necessárias alterações à configuração.

O número da versão é normalmente apresentado no ecrã, ao iniciar ou executar o software. Se tiver dificuldade em localizar o número da versão, solicite assistência ao Suporte.

Se tiver um contrato de suporte activo, as actualizações são gratuitas.

Em muitos casos, dependendo do produto, o departamento de Suporte responsável pode efectuar uma actualização remota.

Caso a versão que está a utilizar seja bastante antiga, poderá ser necessário efectuar uma actualização nas instalações, que será cobrada. Dependendo do âmbito da actualização, poderão ser aplicáveis outros encargos, como, por ex., encargos relativos a novo hardware.

De modo a cumprir os requisitos de segurança, não deve armazenar/introduzir quaisquer dados de cartões de crédito e deve actualizar o sistema para uma versão de software compatível com o PCI.

Contacte a gestão central de IT para coordenar as actualizações.

Não existem certificados individuais. Todos os fornecedores de software cujos produtos estão certificados constam de uma lista no website oficial da VISA (Lista de fornecedores de software certificados), juntamente com as versões de software relevantes. As empresas não constantes desta lista não são oficialmente certificadas e não cumprem os critérios rigorosos do PCI. A lista é regularmente actualizada pela VISA.

A resposta depende da versão do software. A nossa equipa de Suporte pode fornecer-lhe informações detalhadas relativamente ao estado da versão que está a utilizar. Além disso, poderão ter sido adicionados campos individuais e específicos do negócio à base de dados/interface do utilizador a pedido do cliente, que terão de ser preenchidos manualmente.

Se não introduzir nem guardar quaisquer dados de cartões de crédito no sistema ou rede, está em conformidade com a norma PCI. Neste caso, não necessita de quaisquer actualizações de software ou alterações à configuração.
Adquirimos o nosso terminal de cartões de crédito através da MICROS-Fidelio. O sistema é compatível com a PCI?
A MICROS-Fidelio não vende terminais de cartões de crédito. Contacte o seu fornecedor de serviços de transacção (por ex., a Concardis ou a Elavon) para obter mais informações.

A MICROS-Fidelio não vende terminais de cartões de crédito. Contacte o seu fornecedor de serviços de transacção (por ex., a Concardis ou a Elavon) para obter mais informações.

Está em conformidade com a norma desde que não exista introdução manual de dados de cartões de crédito no sistema de Front Office. Consulte a documentação oficial do PCI-DSS para obter mais informações.